操作系統(tǒng)00110課件os ch

1、第8章操作系統(tǒng)安全內容提要 第8章 文件管理 本章對操作系統(tǒng)的安全問題和技術進行綜述性的介紹。首先介紹操作系統(tǒng)安全性的意義、常見的安全威脅源、操作系統(tǒng)的漏洞掃描與安全評測；然后介紹常見的操作系統(tǒng)安全機制硬件安全、標識與鑒別、訪問控制、密碼技術、監(jiān)控與審計日志等；最后介紹Linux的安全機制與Linux的安全漏洞。教學目標 本章掌握操作系統(tǒng)安全性的意義、常見的安全威脅源以及常見的操作系統(tǒng)安全機制、硬件安全、標識與鑒別、訪問控制、密碼技術、監(jiān)控與審計日志等。第8章 文件管理8.1.1 操作系統(tǒng)安全性的含義8.1 操作系統(tǒng)安全概述操作系統(tǒng)的安全性（Security）保障計算機系統(tǒng)中信息資源的機密性、

2、完整性和可用性機密性指文件、數(shù)據等系統(tǒng)信息資源不被非授權用戶獲取和使用 完整性 的用戶不能擅自修改系統(tǒng)中的信息，保證系統(tǒng)中的數(shù)據完整一致可用性保證系統(tǒng)資源能被授權用戶正常使用 8.1.2 操作系統(tǒng)的威脅源8.1 操作系統(tǒng)安全概述1. 病毒病毒：編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼被感染的文件稱為“宿主”，病毒擁有宿主程序的訪問權限宿主程序執(zhí)行時，病毒程序也被激活，從而破壞計算機的功能、毀壞數(shù)據8.1.2 操作系統(tǒng)的威脅源8.1 操作系統(tǒng)安全概述1. 病毒具有以下基本特點：隱蔽性病毒程序代碼駐存在磁盤等介質上，一般無法

3、通過文件系統(tǒng)觀察到 傳染性當用戶利用磁盤、光盤、網絡等載體交換信息時，病毒程序就趁機以用戶不能察覺的方式隨之傳播 潛伏性破壞性8.1.2 操作系統(tǒng)的威脅源8.1 操作系統(tǒng)安全概述2. 蠕蟲 蠕蟲（Worm Virus）：類似于病毒，具有病毒的共同特征是一個獨立的程序，一旦感染，能夠利用網絡獨自傳播與復制其傳播方式主要是遠程訪問和電子郵件，不必通過“宿主”程序或文件例如，蠕蟲可向電子郵件地址簿中的所有聯(lián)系人發(fā)送自己的副本，那些聯(lián)系人的計算機也將執(zhí)行同樣的操作8.1.2 操作系統(tǒng)的威脅源8.1 操作系統(tǒng)安全概述2. 蠕蟲 蠕蟲比病毒的破壞性更強：病毒的活動和傳播是被動的，依賴于其宿主文件的執(zhí)行，而

4、蠕蟲是一個獨立的程序，其傳播和復制是主動的病毒的攻擊對象是本機的文件系統(tǒng)，而蠕蟲的攻擊對象是網絡連接中的計算機系統(tǒng)，利用系統(tǒng)管理或程序的安全漏洞來破壞計算機系統(tǒng)的正常運行，甚至可以遠程搜集他人的重要文件信息 8.1.2 操作系統(tǒng)的威脅源8.1 操作系統(tǒng)安全概述3. 邏輯炸彈 邏輯炸彈（Logic Bomb）：加在現(xiàn)有應用程序上的程序一般被添加在應用程序的起始處，具有多種觸發(fā)方式 邏輯炸彈不能復制自身，不能感染其他程序危害包括：程序中斷、發(fā)生刺耳噪音、更改視頻顯示、破壞磁盤上的數(shù)據、引發(fā)硬件失效異常、操作系統(tǒng)運行速度減慢或系統(tǒng)崩潰等8.1.2 操作系統(tǒng)的威脅源8.1 操作系統(tǒng)安全概述4. 特洛伊

5、木馬 特洛伊木馬（Trojan horse）：指偽裝成一個實用工具或一個可愛的游戲等友好程序，表面上在執(zhí)行合法的任務，實際上卻具有用戶不曾知曉的非法功能 與病毒程序不同，它是一個獨立的應用程序，不具備自我復制能力 同病毒程序一樣具有潛伏性，且常常具有更大的欺騙性和危害性8.1.2 操作系統(tǒng)的威脅源8.1 操作系統(tǒng)安全概述5. 隱蔽通道 隱蔽通道：系統(tǒng)中不受安全策略控制的、違反安全策略的信息泄露路徑隱蔽存儲通道隱蔽定時通道8.1.2 操作系統(tǒng)的威脅源8.1 操作系統(tǒng)安全概述6. 后門 后門（Back Door）：指后門程序，它能夠繞過完全性控制而獲取對程序或系統(tǒng)的訪問權8.1.2 操作系統(tǒng)的威脅

6、源8.1 操作系統(tǒng)安全概述8. 間諜軟件 間諜軟件（Spyware）：指沒有獲用戶許可便執(zhí)行某些操作（如彈出廣告、收集個人信息或更改您的計算機配置等）的一類軟件 8.1.2 操作系統(tǒng)的威脅源8.1 操作系統(tǒng)安全概述8. 嗅探 嗅探（Sniff）：一種竊聽手段。一般指使用嗅探器對數(shù)據流進行非法截獲。它是某種形式的信息泄露，可以獲取敏感信息，如管理員賬號和密碼等機密信息。 8.1.3 操作系統(tǒng)的完全功能8.1 操作系統(tǒng)安全概述操作系統(tǒng)的安全機制，應具備下述功能 有選擇的訪問控制 內存管理與對象重用 審計能力 數(shù)據傳送的加密 文件系統(tǒng)加密 進程通信的安全 8.1.4 操作系統(tǒng)漏洞掃描與安全評測的概念

7、8.1 操作系統(tǒng)安全概述操作系統(tǒng)安全掃描的內容主要包括： 設置錯誤 發(fā)現(xiàn)入侵者蹤跡 發(fā)現(xiàn)木馬程序 檢查關鍵系統(tǒng)文件的完整性1. 操作系統(tǒng)安全漏洞掃描 8.1.5 操作系統(tǒng)安全評測方法8.1 操作系統(tǒng)安全概述分析操作系統(tǒng)安全性最精確的方法是形式化驗證。在形式化驗證中，操作系統(tǒng)安全性被簡化為一個要證明的“定理”。定理斷言該安全操作系統(tǒng)是正確的，即它提供了所應提供的安全特性。但是證明整個安全操作系統(tǒng)正確性的工作量是巨大的。另外，形式化驗證也是一個復雜的過程，對于某些大的實用系統(tǒng)，試圖描述及驗證它十分困難。 1. 形式化驗證 8.1.5 操作系統(tǒng)安全評測方法8.1 操作系統(tǒng)安全概述2. 非形式化確認

8、包括一些不太嚴格的讓人們相信程序正確性的方法： 安全需求檢查 設計及代碼檢查 模塊及系統(tǒng)測試8.1.5 操作系統(tǒng)安全評測方法8.1 操作系統(tǒng)安全概述成立一個稱為“老虎小組”的入侵分析小組，小組成員試圖“摧毀”正在測試中的操作系統(tǒng)。“老虎小組”成員應當掌握操作系統(tǒng)典型的安全漏洞，試圖發(fā)現(xiàn)并利用系統(tǒng)中的這些安全缺陷。如果操作系統(tǒng)的安定性在某一次入侵測試中失效，則說明它內部有錯。但是，如果操作系統(tǒng)的安全性在某一次入侵測試中并不失效，不能說明操作系統(tǒng)中沒有任何錯誤。 3. 入侵分析 8.1.6 操作系統(tǒng)安全評測準則 8.1 操作系統(tǒng)安全概述可信計算機系統(tǒng)評測準則TCSEC美國國家計算機安全中心（NCS

9、C）于1983年制定信息技術安全評估準則ITSEC 俗稱白皮書，歐洲四國（荷、法、英、德）于1989年聯(lián)合提出通用安全評估準則CC美國國家標準技術研究所（NIST）、國家安全局（NSA）以及歐洲的荷、法、德、英和加拿大等6國7方聯(lián)合提出。它于1991年宣布，1995年發(fā)布正式文件。 計算機信息系統(tǒng)安全保護等級劃分準則 我國國家技術質量監(jiān)督局于1999年發(fā)布，序號GB17859-1999。 8.2.1 硬件安全8.2 操作系統(tǒng)安全的機制 存儲保護主要指保護用戶在存儲器中的數(shù)據 存儲保護與存儲器管理是緊密相關的，存儲保護負責保證系統(tǒng)中的各個任務之間互不干擾；存儲器管理則是為了更有效地利用存儲空間。

10、 操作系統(tǒng)可以充分利用硬件提供保護機制進行存儲器的安全保護，現(xiàn)在比較常用的有界址、界限寄存器、重定位、特征位、分段、分頁式和段頁式機制等。 1. 存儲保護 8.2.1 硬件安全8.2 操作系統(tǒng)安全的機制分層設計是實現(xiàn)操作系統(tǒng)安全的重要設計理念，而運行域是一種在基于分層保護環(huán)的等級結構中實現(xiàn)操作系統(tǒng)安全的技術。所謂的運行域是指進程運行的區(qū)域，在最內層具有最小環(huán)號的環(huán)具有最高特權，而在最外層具有最大環(huán)號的環(huán)是最小的特權環(huán)。一般的安全操作系統(tǒng)應不少于34個環(huán)。 2. 運行保護 8.2.1 硬件安全8.2 操作系統(tǒng)安全的機制絕大多數(shù)情況下,I/O操作是僅由操作系統(tǒng)完成的一個特權操作，所有操作系統(tǒng)都對讀

11、寫文件操作提供一個相應的高層系統(tǒng)調用，在這些過程中，用戶不需要控制I/O操作的細節(jié)。 3. I/O保護 8.2.2 標識與鑒別8.2 操作系統(tǒng)安全的機制標識：系統(tǒng)要標識用戶的身份，并為每個用戶取一個系統(tǒng)可以識別的內部名稱用戶標識符 鑒別：將用戶標識符與用戶聯(lián)系的過程，用以識別用戶的真實身份，主要技術手段包括：口令鑒別、生物鑒別（指紋、視網膜等 ）8.2.3 訪問控制8.2 操作系統(tǒng)安全的機制保護域：進程對一組對象訪問權的集合，簡稱“域”。進程只能在指定域內執(zhí)行操作，這樣域也就規(guī)定了進程所能訪問的對象和所能執(zhí)行的操作1. 保護域 8.2.3 訪問控制8.2 操作系統(tǒng)安全的機制存取矩陣(Acces

12、s Matrix)：矩陣中的行代表域，列代表對象，矩陣中的每一項是由一組訪問權組成的。存取矩陣中的每一個元素Access(i,j)定義了在域Di中執(zhí)行的進程能對對象所施加的操作集。 2. 存取矩陣 8.2.3 訪問控制8.2 操作系統(tǒng)安全的機制（1）存取控制表：將存取矩陣按列(對象)劃分建立的一張表，在該表中把矩陣中屬于該列的所有空項刪除，構成由存取矩陣中的有序對(“域”， 權集)所構成的一張表。 3. 存取矩陣的實現(xiàn) 對象對象-權限 序對F1(D1,R)F2(D1,RW)F3(D2,R)F4(D2,RWX)F5(D2,RW)F6(D3,RWX)Printer(D2,W),(D3,W)Plot

13、ter(D3,W)8.2.3 訪問控制8.2 操作系統(tǒng)安全的機制（2）訪問權限表 ：將存取矩陣按行存放，對每個域都賦予一張在該域內可能訪問的對象表以及每個對象允許進行的操作，這樣的表就稱為訪問權限表(Capabilities),表中的每一項叫做權限。3. 存取矩陣的實現(xiàn) 序號（隱含）類型權限對象0文件R-指向F3的指針1文件RWX指向F4的指針2文件RW-指向F5的指針3打印機-W-指向打印機Printer的指針8.2.4 密碼技術8.2 操作系統(tǒng)安全的機制密碼技術：采用數(shù)據變換的方法實現(xiàn)對信息的保密，它是網絡操作系統(tǒng)中普遍采用的安全技術。密碼技術的模型基本上由以下四部分構成： 明文：需要被加

14、密的文本，稱為明文P 密文：加密后的文本，稱為密文Y 加密、解密算法E、D：用于實現(xiàn)從明文到密文，或從密文到明文的轉換公式、規(guī)則或程序 密鑰K: 加密和解密算法中的關鍵參數(shù) 8.2.5 監(jiān)控與審計日志 8.2 操作系統(tǒng)安全的機制 檢測和發(fā)現(xiàn)那些可能的違反系統(tǒng)安全的活動 周期性的對系統(tǒng)進行全面的掃描 1. 監(jiān)控 8.2.5 監(jiān)控與審計日志 8.2 操作系統(tǒng)安全的機制日志文件是安全系統(tǒng)的一個重要組成部分，它記錄了計算機系統(tǒng)所發(fā)生的情況。通常在每次啟動審計時，系統(tǒng)會按照已設定好的路徑和命名規(guī)則產生一個新的日志文件。 日志文件一般包括事件發(fā)生的日期和時間、事件類型、事件的成功與失敗等。 操作系統(tǒng)必須嚴

15、格控制對日志文件的訪問權限，防止其免遭非法訪問和破壞 2. 審計日志 8.3.1 Linux的安全機制8.3 Linux的安全策略8.3.2 Linux的安全漏洞小結操作系統(tǒng)的安全是計算機系統(tǒng)安全的基礎 病毒是潛入宿主程序的計算機指令或程序代碼，依賴于宿主程序的運行來破壞計算機的功能和數(shù)據 蠕蟲是一個獨立的程序，利用系統(tǒng)管理或程序的安全漏洞來進行破壞活動，它可以針對網絡連接的計算機進行主動攻擊 特洛伊木馬不具備復制功能，它偽裝成合法程序，可以接受攻擊者的控制，常常具有更大的欺騙性和危害性為了建立操作系統(tǒng)的安全機制，可以采取相應的安全保護策略。包括硬件安全、標識與鑒別、訪問控制、密碼技術、監(jiān)控與審計日志等小結為了建立操作系統(tǒng)的安全機制，可以采取相應的安全保護策